Con SELinux sviluppato da NSA e AppArmor di Novell [*], quali soluzioni alternative esistono quando si tenta di bloccare un sistema ed eseguire applicazioni, basate su ACL e concetti simili come Zone su Solaris.
con applicazioni intendo: servizi disponibili e accessibili al pubblico tramite la rete, ovvero tutti i tipi di server web / applicativi, ma anche db-server.
chroot non è un'opzione, perché la sua PITA deve essere configurata e mantenuta a lungo termine (esperienze).
Cosa voglio ottenere: limitare l'accesso dei servizi netbased ai propri file di configurazione e di dati (docroot per server Web, dbs per db-server, ecc.); le connessioni in uscita sono gestite tramite firewall e proxy di servizio. se qualche attaccante è in grado di accedere al sistema, deve essere limitato su cosa vedere e cosa fare, ad es. non eseguire programmi, non leggere altri file.
[*] a causa di ordini gag e simili, senza più fiducia.